Január 28-a - 2007 óta - az adatvédelem napja. Azért éppen erre a napra esett a választás, mert 1981-ben ezen a napon nyílt meg aláírásra az Európa Tanács Egyezménye az egyének védelméről a személyes adatok gépi felhasználása során. (Egyébként az Egyezmény 1985. október 1-én lépett hatályba, miután kellő számú állam ratifikálta az egyezményt. Mára 55 állam csatlakozott az Egyezményhez)

A cél, amely életre hívta az adatvédelem nemzetközi napját, a figyelemfelhívás volt az adatvédelmi tudatosság növelése érdekében. Bár az elmúlt évek sokaknak a GDPR bűvkörében teltek és számos más, adatokat érintő európai és Európán kívüli jogalkotás is a figyelem középpontjába került, de az adatok feletti tudatos rendelkezés az érintettek részéről, illetve az adatok tudatos kezelése az adatkezelők és mindazon szereplők részéről, amelyek részt vesznek az adatkezelési folyamatban továbbra sem veszít a jelentőségéből. 

Az Európai Adatvédelmi Testület első összehangolt végrehajtási projektje (Coordinated Enforcement Action) volt 2022-ben a felhőszolgáltatások közszférában történő alkalmazását illetően útjára indított vizsgálat. A projektben 22 felügyeleti hatóság vett rész, köztük az európai adatvédelmi biztos. (Az összehangolt végrehajtási keretről további részletek elérhetők a Testület 2020. októberi dokumentumában.)

A vizsgálatban több, mint 80 közszférába tartozó intézményt kerestek meg és a vizsgálatok eredményeként elkészült anyagot most tette közzé a Testület. Bár a vizsgálat és így a közzétett jelentésben megfogalmazott tanulságok, javaslatok a közszféra általi felhőhasználatra vonatkoznak, ugyanakkor a dokumentumban számos olyan szempontot találhatunk, amelyet a közszférán kívül működő adatkezelőknek is érdemes figyelembe venniük, mivel alapvetően nem a közszférában történő adatkezeléshez, hanem sokkal inkább a felhőszolgáltatások jellemzőihez kapcsolódnak. (A jelentést lásd itt, az egyes nemzeti hatóságok által végzett vizsgálatokról és intézkedésekről készül riportot lásd itt.) 

A jelentés az alábbi főbb, mérlegelendő szempontokat állapítja meg azokra az esetekre, amikor az adatkezelő felhőszolgáltató igénybevételét tervezi, illetve felhőszolgáltatás igénybevételére kötne szerződést: 

Az Európai Adatvédelmi Testület 2021-ben felállított egy "cookie banner taskforce" névre hallgató csoportot, hogy a Noyb nevű civil szervezettől számos adatvédelmi hatósághoz érkező, a sütik kezelésével kapcsolatos panaszokra adandó válaszokat koordinálja. A Testület közzétette a csoport jelentését, amely közös nevezőként szolgálhat - az uniós szabályozás mellett - a különböző tagállamok sütikre vonatkozó szabályainak alkalmazása során.

A sütiket érintő szabályok alkalmazásakor ugyanis nem szabad elfelejteni, hogy az e-Privacy irányelv (elektronikus hírközlési adatvédelmi irányelv; 2002/58/EK, lásd különösen az 5. cikk (3) bekezdését), illetve ennek a különböző tagállami jogokba való átültetését elvégző nemzeti szabályok alkalmazandók. Természetesen ezen felül a személyes adatkezelés vonatkozásában a GDPR rendelkezéseire is figyelemmel kell eljárni.

A jelentés 8 különböző gyakorlatot vesz górcső alá és ezekkel kapcsolatban az alábbi főbb megállapításokat teszi.

A kiberbiztonságot érintő környezet gyors változását mutatja - többek között - az a jogalkotási sebesség, amely hat évvel a NIS irányelv elfogadását és mindössze 4 és fél évvel az átültetését követően máris a 2022/2555. sz. irányelv az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) elfogadásához és kihirdetéséhez vezetett.

A NIS 2 irányelv preambuluma is kiemeli:

[a] hálózati és információs rendszerek a mindennapi élet központi jellemzőjévé fejlődtek a társadalom gyors digitális átalakulásával és összekapcsolódásával, beleértve a határokon átnyúló információmegosztást is. Ez a fejlődés a kiberfenyegetettség bővüléséhez vezetett, új kihívások támasztásával, amelyek minden tagállamban kiigazított, összehangolt és innovatív reagálást igényelnek. Az események száma, nagysága, kifinomultsága, gyakorisága és hatása növekszik, és komoly veszélyt jelentenek a hálózati és információs rendszerek működésére.[...] (Preambulum (3) bekezdés)

The European Commission and the United States announced in a joint statement earlier this year that an agreement  on the principles of a new Trans-Atlantic Data Privacy Framework had been reached. After this announcement, everyone has been waiting for the publication of the Executive Order to be issued by the President of the US, on the basis of which the necessary adequacy review could be commenced by the European Commission. After several months of waiting, President Joe Biden signed the Executive Order on October 7, which, in response to the most important concerns regarding data transfers to the US, puts some limits on United States signals intelligence activities and provides additional data protection safeguards.

Amióta az Európai Bizottság és az Egyesült Államok tavasszal bejelentették, hogy elvi megállapodásra jutottak egy új Transzatlanti Adatvédelmi Keretrendszer alapjairól, mindenki azt várta, hogy megjelenjen az az elnöki rendelet (Executive Order), amely alapján aztán elindulhat az USA tekintetében a szükséges megfelelőségi felülvizsgálat. Hosszas várakozások után, Joe Biden elnök október 7-én aláírta az elnöki rendeletet, amely az USA-ba történő adattovábbításokkal kapcsolatos legfontosabb aggályokra reagálva, korlátokat állapít meg a titkosszolgálati adatgyűjtés kapcsán, illetve plusz adatvédelmi garanciákat biztosít. 

Az Európai Bizottság két új irányelv elfogadására tett javaslatot: egyrészt a hibás termékekért való felelősségre (termékfelelősség) vonatkozó, eredetileg 1985-ben elfogadott irányelv (85/374/EEC) felülvizsgálatát, másrészt a mesterséges intelligencia alkalmazásával összefüggésben felmerülő szerződésen kívüli károkozás szabályainak harmonizálását javasolja a Bizottság. 

Az Európai Adatvédelmi Testület közzétett egy áttekintést az Európai Gazdasági Térségben működő adatvédelmi hatóságok rendelkezésére álló emberi- és pénzügyi erőforrásokról. A hatóságok válaszaiból továbbra is az tűnik ki, hogy - mind pénzügyi-, mind emberi erőforrásaikat tekintve - a hatóságok nem elégedettek a számukra biztosított forrásokkal. Érdekes módon - a tavalyi jelentéshez hasonlósan - a magyar adatvédelmi hatóság azon kevés hatóság között volt, amelyek úgy foglaltak állást, hogy a rendelkezésre álló erőforrások jelenleg megfelelőek a feladataik ellátáshoz.)   

A 2020-ban közzétett európai adatstratégia alapján megindult uniós jogalkotási folyamat eredményeként május végén kihirdetésre került az európai adatkormányzásról szóló 2022/868. sz. rendelet (Data Governance Act, DGA). Az alábbiakban röviden bemutatom a DGA legfontosabb rendelkezéseit és illeszkedését az uniós adatjog rendszerébe.    

Az adatokat (is) érintő uniós szabályozási kezdeményezések 

Az elmúlt időszakban felgyorsultak az események az EU-ban, ami az adatokat érintő szabályozást illeti. 2016-ban megjelent a GDPR, majd 2018. május 25-től alkalmazandóvá is vált. Szintén elfogadásra került 2018-ban a nem személyes adatok szabad áramlására vonatkozó rendelet. 2019-ben kihirdetésre került a nyílt hozzáférésű adatokra vonatkozó irányelvi szabályozás is (igaz ennek tagállami átültetése akadozni látszik). A 2020-ban megjelent adatstratégia és a mesterséges intelligenciáról szóló Fehér Könyv pedig újabb jogalkotási hullámot indított el, amely az adatkormányzási rendelet megjelenésével az első hatályba lépő jogszabályt már "ki is termelte".  

Az elmúlt hét is több fontos és érdekes adatvédelmi hírt hozott, élen a transzatlanti adattovábbításokat érintő fejleményekkel: